Dela via


Azure-säkerhetsbaslinje för Customer Lockbox för Microsoft Azure

Den här säkerhetsbaslinjen tillämpar vägledning från Microsoft Cloud Security Benchmark version 1.0 på Customer Lockbox för Microsoft Azure. Microsofts benchmark för molnsäkerhet ger rekommendationer om hur du kan skydda dina molnlösningar i Azure. Innehållet grupperas efter de säkerhetskontroller som definieras av Microsofts benchmark för molnsäkerhet och den relaterade vägledning som gäller för Customer Lockbox för Microsoft Azure.

Du kan övervaka den här säkerhetsbaslinjen och dess rekommendationer med hjälp av Microsoft Defender för molnet. Azure Policy definitioner visas i avsnittet Regelefterlevnad på portalsidan Microsoft Defender för molnet.

När en funktion har relevanta Azure Policy definitioner visas de i den här baslinjen för att hjälpa dig att mäta efterlevnaden av Microsofts benchmark-kontroller och rekommendationer för molnsäkerhet. Vissa rekommendationer kan kräva en betald Microsoft Defender plan för att aktivera vissa säkerhetsscenarier.

Anteckning

Funktioner som inte gäller för Customer Lockbox för Microsoft Azure har exkluderats. Om du vill se hur Customer Lockbox för Microsoft Azure fullständigt mappar till Microsoft Cloud Security Benchmark kan du läsa den fullständiga mappningsfilen customer lockbox för Microsoft Azure-säkerhetsbaslinje.

Säkerhetsprofil

Säkerhetsprofilen sammanfattar beteendet för Customer Lockbox för Microsoft Azure, vilket kan leda till ökade säkerhetsöverväganden.

Attribut för tjänstbeteende Värde
Produktkategori Säkerhet
Kunden kan komma åt HOST/OS Ingen åtkomst
Tjänsten kan distribueras till kundens virtuella nätverk Falskt
Lagrar kundinnehåll i vila Falskt

Nätverkssäkerhet

Mer information finns i Microsoft Cloud Security Benchmark: Nätverkssäkerhet.

NS-1: Upprätta nätverkssegmenteringsgränser

Funktioner

Integrering med virtuellt nätverk

Beskrivning: Tjänsten stöder distribution till kundens privata Virtual Network (VNet). Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

Stöd för nätverkssäkerhetsgrupp

Beskrivning: Tjänstnätverkstrafik respekterar regeltilldelningen för nätverkssäkerhetsgrupper i dess undernät. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

NS-2: Skydda molntjänster med nätverkskontroller

Funktioner

Beskrivning: Tjänstens interna IP-filtreringsfunktion för filtrering av nätverkstrafik (ska inte förväxlas med NSG eller Azure Firewall). Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

Inaktivera åtkomst till offentligt nätverk

Beskrivning: Tjänsten stöder inaktivering av åtkomst till offentligt nätverk antingen via filtreringsregeln IP ACL på tjänstnivå (inte NSG eller Azure Firewall) eller med växlingsknappen Inaktivera åtkomst till offentligt nätverk. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

Identitetshantering

Mer information finns i Microsoft Cloud Security Benchmark: Identitetshantering.

IM-1: Använd centraliserat identitets- och autentiseringssystem

Funktioner

Azure AD autentisering krävs för dataplansåtkomst

Beskrivning: Tjänsten stöder användning av Azure AD-autentisering för åtkomst till dataplanet. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Sant Microsoft

Konfigurationsvägledning: Inga ytterligare konfigurationer krävs eftersom detta är aktiverat för en standarddistribution.

Lokala autentiseringsmetoder för dataplansåtkomst

Beskrivning: Lokala autentiseringsmetoder som stöds för åtkomst till dataplanet, till exempel ett lokalt användarnamn och lösenord. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

IM-3: Hantera programidentiteter på ett säkert och automatiskt sätt

Funktioner

Hanterade identiteter

Beskrivning: Dataplansåtgärder stöder autentisering med hanterade identiteter. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

Tjänstens huvudnamn

Beskrivning: Dataplanet stöder autentisering med hjälp av tjänstens huvudnamn. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

SNABBMEDDELANDE 7: Begränsa resursåtkomst baserat på villkor

Funktioner

Villkorsstyrd åtkomst för dataplan

Beskrivning: Dataplansåtkomst kan styras med hjälp av Azure AD principer för villkorsstyrd åtkomst. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

IM-8: Begränsa exponeringen av autentiseringsuppgifter och hemligheter

Funktioner

Stöd för integrering och lagring av tjänstautentiseringsuppgifter och hemligheter i Azure Key Vault

Beskrivning: Dataplanet stöder intern användning av Azure Key Vault för lagring av autentiseringsuppgifter och hemligheter. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

Privilegierad åtkomst

Mer information finns i Microsofts benchmark för molnsäkerhet: Privilegierad åtkomst.

PA-1: Avgränsa och begränsa högprivilegierade/administrativa användare

Funktioner

Lokala Admin-konton

Beskrivning: Tjänsten har begreppet lokalt administrativt konto. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

PA-7: Följ principen för precis tillräcklig administration (lägsta behörighet)

Funktioner

Azure RBAC för dataplan

Beskrivning: Azure Role-Based Access Control (Azure RBAC) kan användas för hanterad åtkomst till tjänstens dataplansåtgärder. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

PA-8: Fastställa åtkomstprocess för molnleverantörssupport

Funktioner

Customer Lockbox

Beskrivning: Customer Lockbox kan användas för microsofts supportåtkomst. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Sant Falskt Kund

Funktionsanteckningar: Det här är Customer Lockbox-tjänsten.

Konfigurationsvägledning: I supportscenarier där Microsoft behöver åtkomst till dina data använder du Customer Lockbox för att granska och sedan godkänna eller avvisa var och en av Microsofts dataåtkomstbegäranden.

Referens: Customer Lockbox för Microsoft Azure

Dataskydd

Mer information finns i Microsoft Cloud Security Benchmark: Dataskydd.

DP-1: Identifiera, klassificera och märka känsliga data

Funktioner

Identifiering och klassificering av känsliga data

Beskrivning: Verktyg (till exempel Azure Purview eller Azure Information Protection) kan användas för identifiering och klassificering av data i tjänsten. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

DP-2: Övervaka avvikelser och hot mot känsliga data

Funktioner

Dataläckage/förlustskydd

Beskrivning: Tjänsten stöder DLP-lösning för att övervaka känslig dataflytt (i kundens innehåll). Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

DP-3: Kryptera känsliga data under överföring

Funktioner

Data under överföringskryptering

Beskrivning: Tjänsten stöder datakryptering under överföring för dataplanet. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

DP-6: Använd en säker nyckelhanteringsprocess

Funktioner

Nyckelhantering i Azure Key Vault

Beskrivning: Tjänsten stöder Integrering av Azure Key Vault för kundnycklar, hemligheter eller certifikat. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

DP-7: Använd en säker certifikathanteringsprocess

Funktioner

Certifikathantering i Azure Key Vault

Beskrivning: Tjänsten stöder Integrering av Azure Key Vault för alla kundcertifikat. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

Tillgångshantering

Mer information finns i Microsoft Cloud Security Benchmark: Tillgångshantering.

AM-2: Använd endast godkända tjänster

Funktioner

Azure Policy-stöd

Beskrivning: Tjänstkonfigurationer kan övervakas och framtvingas via Azure Policy. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Funktionsanteckningar: Privat förhandsgranskning som kräver manuell onbaording

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

Loggning och hotidentifiering

Mer information finns i Microsoft Cloud Security Benchmark: Loggning och hotidentifiering.

LT-1: Aktivera funktioner för hotidentifiering

Funktioner

Microsoft Defender för tjänst/produkterbjudande

Beskrivning: Tjänsten har en erbjudandespecifik Microsoft Defender lösning för att övervaka och varna om säkerhetsproblem. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

LT-4: Aktivera loggning för säkerhetsundersökning

Funktioner

Azure-resursloggar

Beskrivning: Tjänsten skapar resursloggar som kan ge förbättrade tjänstspecifika mått och loggning. Kunden kan konfigurera dessa resursloggar och skicka dem till sin egen datamottagare som ett lagringskonto eller en Log Analytics-arbetsyta. Läs mer.

Stöds Aktiverad som standard Konfigurationsansvar
Falskt Ej tillämpligt Ej tillämpligt

Funktionsanteckningar: Även om Customer Lockbox inte stöder den här funktionen har kunden åtkomst till tjänstens aktivitetsloggar.

Mer information finns i: Granskningsloggar

Konfigurationsvägledning: Den här funktionen stöds inte för att skydda den här tjänsten.

Nästa steg